지금은 데이터 시대다. 미래에 무엇을 꿈꾸든지, 데이터가 있어야 한다. 데이터는 경제발전의 엔진이다. 보유한 개인정보의 양과 질이 기업 성과를 결정한다. 개인정보보호와 관련해 여론의 비판을 받은 페이스북(지금의 메타)도 마찬가지였다. 개인정보보호위원회는 지난해 8월 페이스북에 얼굴인식정보 수집 위법을 이유로 64억원에 이르는 과징금을 부과했다. 페이스북의 2018년 4월 데이터 정책(또는 개인정보 처리방침)은 “이 기능을 켜면 얼굴인식 기능을 사용하여 사진, 동영상 및 카메라 환경에서 회원님을 인식합니다”라고 해 이용자가 스스로 해당 기능을 켜야 활성화되는 것처럼 안내했다.
그러나 실제로는 기본값(default)을 '켜짐'으로 해놓고 이용자가 회원으로 가입하기 이전에는 설정화면에 접근이 불가능하도록 구성해 설정을 변경할 수 있는 기능을 제공하지 않았다. 개인정보 보호법제는 개인정보 수집에 있어 정보 주체와 개인정보 처리자 간 신뢰를 기본으로, 정보 주체가 소위 '알고 하는 동의(informed consent)'를 할 수 있도록 개인정보처리자가 동의 여부 판단에 충실한 정보(information)를 알기 쉬운 방식으로 제공하도록 하고 있다.
페이스북이 이용자에게 본인 얼굴인식 정보 수집 여부에 관해 명확하지 않거나 혼란을 유발할 수 있는 표현을 사용하는 것은 '알고 하는' 동의라는 정보 주체와 개인정보 처리자 간 신뢰 관계의 기본인 필수 요소를 부정하고 이용자를 기만(deceptive)한 것으로 보인다. 미국 연방거래위원회(FTC) 역시 페이스북 데이터 정책이 이용자를 기만했다고 판단했다. 실제로 페이스북은 2019년 9월부터 기본값을 '꺼짐'으로 변경했다.
개인정보 보호법제는 다양한 기만적 디자인으로 쉽게 무력화될 수 있다. 디지털 시대의 급진전은 보다 많은 개인정보를 수집하도록 하는 디자인 기술을 부추긴다. 기본값이 잘못 설정된 경우 이외에도 서비스 제공에 필수적이지 않은 정보를 필수정보로 수집 동의하도록 요구하는 경우 개인정보 제공에 동의하지 않으면 서비스 제공 자체를 거부하는 경우 등 그 예는 많다.
개인정보 수집을 위한 기만적 기술과 디자인은 개인정보 보호에 대한 정보 주체의 합리적 기대를 저버리고 결국 정보 주체와 개인정보 처리자 간 상호신뢰를 저해한다. 나아가 이렇게 수집된 개인정보는 정보 주체 의사와 관계없이 소위 설득기술(Persuasive Technology)에 의해 각종 제품과 서비스 추천부터 소비자 선호와 행태의 조종에 이르기까지 다양한 기업 이익 창출에 활용된다.
지난해 실시한 개인정보 실태조사에 따르면 개인정보처리자의 94% 이상이 '정보주체의 동의'가 개인정보 수집 근거라고 응답했다. 그러나 개인정보 수집·이용 동의 때 동의 내용을 확인하는 정보주체 비율은 채 절반이 되지 않는다. 동의 요구가 얼마나 관행적으로 이루어지고 있는지, 또 '법률의 특별한 규정' 등 다른 개인정보 처리 요건과 달리 '동의'는 정보주체가 통제권을 행사할 수 있는 주요 수단임에도 불구하고 그 역할에 얼마나 한계가 있는지를 보여주는 대목이다.
기업이 널리 활용하는 개인정보 처리방침 자체 문제점도 있다. 관련 연구에 따르면 인터넷 이용자가 온라인에서 만나게 되는 개인정보 처리방침을 모두 읽는다고 가정하면 연간 약 244시간(일 평균 40분)이 걸린다고 한다. 정보 주체가 사실상 이것을 모두 읽고 동의하는 것이 불가능하다고 볼 때 정보 주체 본인 정보에 대한 통제 또는 알고 하는 동의라는 것은 허울뿐이다. 덧붙여 명확하지 않은 표현과 오해를 불러일으킬 수도 있는 문장구조, 작은 글자체 등 역시 정보주체의 권리행사를 크게 제약하는 원인이다.
데이터 시대에 기업의 개인정보 처리방침은 정보 주체의 합리적 기대에 부합하도록 새롭게 설계될 필요가 있다. 기업은 개인정보를 처리함에 있어 신뢰 보호 원칙에 따라야 하며 정보 주체를 기만하거나 부당하게 이용하거나 정보 주체의 프라이버시를 침해하는 디자인을 하지 말아야 한다. 개인정보 보호 의무를 충실히 이행하고 처리 과정을 투명하게 하도록 설계해야 한다. 또한 정보 주체가 알기 쉽게 시각화돼야 한다.
개인정보보호위원회는 기업이 이 내용을 충실히 반영할 수 있도록 얼마 전 2개의 안내서를 발표했다. '알기 쉬운 개인정보 처리 동의 안내서'와 '개인정보 처리방침 작성지침'이 그것이다. 개인정보 처리 동의 안내가 고객과 처음 만날 때 하는 약속이라면, 개인정보 처리방침은 그 약속을 어떻게 지키고 있는지 고객과 지속적으로 소통하는 것이라 할 수 있다. 이번에 발간하는 안내서가 정보 주체인 인간이 개인정보의 진정한 주인으로 거듭나는 계기가 되길 기대한다. 국민이 이를 피부로 느낄 수 있기 위해서는 무엇보다 기업 관심과 자발적 협조가 필요하다. 개인정보는 인간에 관한 정보이다. 인간을 생각해야 한다.
윤종인 개인정보보호위원장 lmj777@korea.kr
○ 필자 소개
윤종인 개인정보보호위원회 위원장= 1964년 충남 홍성에서 태어나 상문고등학교를 졸업하고 서울대 서양사학과와 행정대학원 행정학 석사를 거쳤다. 이어 미국 조지아대에서 행정학 박사과정을 마쳤다. 행정고시 31회로 공직에 입문, 행정안전부 자치제도기획관과 대통령비서실 정무수석실 행정자치비서관을 거쳐 2016년 충청남도 행정부지사, 2017년 행안부 지방자치분권실장을 역임했다. 2018년부터 2년간 행안부 차관으로 재직했다. 2020년 8월부터 초대 통합 개인정보보호위원회 위원장(장관급)으로 임명돼 위원회를 이끌고 있다.